Engana-se quem acha que o cryptojacking já virou coisa do passado – embora tal prática criminosa tenha surgido no fim de 2017 e se fortalecido ao longo de 2018, tudo indica que ela não recuará durante o ano vigente. Pelo contrário: a tendência é que esse tipo de ameaça deixe de focar nos usuários finais para atingir diretamente os ambientes corporativos. Uma prova disso é o recente surgimento do Beapy, um malware que afetou diversas máquinas chinesas: de suas vítimas, 98% eram máquinas empresariais.
Porém, antes de nos aprofundarmos no assunto, é essencial explicarmos sobre o que estamos falando. Cryptojacking é, basicamente, um tipo de ataque cibernético que utiliza o poder computacional de um dispositivo para minerar criptomoedas secretamente e transferi-las para a carteira do criminoso responsável. Isso significa que, ao ser vítima de um cryptojacker, seu computador estará literalmente gerando dinheiro para alguém sem que você sequer perceba.
Por si só, o cryptojacking não representa um perigo para a privacidade do internauta; ele não rouba, apaga ou sequestra dados digitais. Porém, visto que mineração de criptomoedas é uma atividade que consome muitos recursos de um processador, é inevitável que a vítima perceba uma lentidão excessiva em seu dispositivo infectado – algo que pode impactar diretamente na produtividade de profissionais, estejam eles utilizando seus gadgets pessoais ou trabalhando através de máquinas corporativas.
Uma das formas mais clássicas de praticar o cryptojacking é através da inserção de pequenos trechos de código em um site. Ao visitar uma paǵina web que contenha um script malicioso, o internauta automaticamente estará cedendo o poder computacional de seu dispositivo para a mineração de criptomoedas. Essa atividade, porém, cessa imediatamente assim que você abandonar o domínio infectado – no caso, não se trata de uma infecção persistente, já que nenhum dado é gravado na memória não-volátil do computador.
É válido ressaltar que o uso de scripts de mineração em websites pode ser uma atividade legítima, desde que os visitantes sejam alertados sobre a existência de tal código. Aliás, o cryptojacking nasceu justamente com a inauguração do Coinhive, um serviço criado com o intuito de prover uma estratégia de monetização menos invasiva do que os clássicos anúncios publicitários.
Funcionava assim: o interessado fazia um cadastro na plataforma e recebia um código único que deveria ser instalado em seu próprio site. Com isso, seus visitantes passariam a minerar Monero (uma altcoin similar ao bitcoin) ao mesmo tempo em que usufruem de uma experiência sem anúncios. O problema é que esse sistema logo passou a ser utilizado por pessoas mal-intencionadas com o único objetivo de ganhar o máximo possível de lucro próprio.
Não demorou muito para que cibercriminosos começassem a invadir sites alheios (principalmente aqueles de grande porte e projetados sobre uma plataforma vulnerável, como uma versão desatualizada do Wordpress) para dominá-los e infectá-los com códigos do Coinhive. O serviço foi descontinuado recentemente – alegando dificuldades financeiras após alterações na estrutura do Monero –, mas, visto que hoje em dia já existem diversas alternativas disponíveis, é insensato pensar que tal falência significará o fim do cryptojacking.
Embora a infecção de websites seja a forma mais comum e conhecida de praticar o cryptojacking, ela definitivamente não é a última. Ao longo dos últimos meses, com a popularização de plugins que bloqueiam os scripts online (e até mesmo graças a algumas atualizações em navegadores projetadas para impedir a execução desses códigos), os criminosos estão cada vez mais distribuindo suas ferramentas de mineração usando um vetor de ataque muito conhecido: o phishing.
A receita é a mesma que todos nós conhecemos. A vítima recebe um email que lhe incentiva a baixar um arquivo ou acessar um link – geralmente com um mote que lhe desperta a curiosidade, como a cobrança de um boleto em aberto ou uma promoção imperdível em um e-commerce. Ao fazer o download do anexo ou clicar no link indicado, um malware se instala no computador e passa a praticar a mineração em segundo plano, sem que o usuário perceba qualquer coisa.
Esta segunda forma de infecção, cada vez mais popular, se mostra bem mais perigosa, uma vez que ela possui persistência – ou seja, o script continua funcionando mesmo sem que o internauta esteja visualizando uma página da web. Além disso, não é difícil ver cryptojackers de instalação local com capacidades de worms, conseguindo se reproduzir e infectar todos os computadores de uma rede corporativa.
Uma ameaça que utiliza dois vetores de ataque demanda duas formas distintas de prevenção. Ao falarmos sobre os cryptojackers online – ou seja, que se escondem em sites da internet –, a melhor forma de evitar uma infecção é utilizando extensões em seu navegador que bloqueiem esse tipo de atividade. Como citamos anteriormente, alguns browsers também passaram a vir “de fábrica” com tal recurso, então vale a pena conferir se o software que você usa já conta com a funcionalidade.
Os administradores de websites também precisam ficar de olho: para evitar que seu domínio seja invadido e usado para hospedar scripts maliciosos, é essencial adotar boas práticas de desenvolvimento seguro. Isso inclui certificar-se de que sua plataforma de conteúdo (tal como eventuais plugins) esteja atualizada e garantir o uso de credenciais fortes para acessar o painel de gerenciamento.
Por outro lado, para evitar o cryptojacking via phishing, as dicas continuam sendo as de sempre. Tome cuidado ao receber emails suspeitos que lhe incitam a baixar um arquivo ou clicar em um link, mesmo que as mensagens aparentemente tenham sido enviadas por um remetente confiável (é extremamente fácil falsificar, por exemplo, uma notificação de falha de pagamento de algum serviço popular de streaming). Pensando duas vezes antes de efetuar alguma ação no mundo online, você certamente vai evitar ser vítima não apenas desta, mas de muitas outras ameaças que rondam a internet.
Nós da Axur também podemos te dar uma mãozinha com os golpes cibernéticos: entenda melhor o que nós e nossos robôs podemos fazer para lhe ajudar a lidar com malwares e phishings.